GhostClicker：340 个 Play 商店应用程序感染了点击所有广告的恶意软件

趋势科技研究人员发现 GhostClicker 广告软件的开发人员设法将其恶意软件注入 Google Play 商店中的 340 多个 Android 应用程序中。其中一百多个仍然存在于谷歌官方应用程序商店中。

过去，许多广告软件系列都成功感染了 Google Play 商店：Chamois、FalseGuide、HummingBad、Viking Horde、DressCode、Calljam 和 Skinner（仅举最知名的）。

该恶意软件的开发者利用 Google Play 商店中的安全漏洞来污染最不可疑用户的智能手机。尽管Google 加强 Play 商店安全性的努力，问题依然存在。

为了达到他们的目的，这些开发者将恶意代码与其软件分离几个组件之间。他们还延迟执行，并使用技术来阻止安全测试开始执行。

GhostClicker 就是这样成功入侵的Google Play 商店中的 340 个应用程序。其恶意代码被分割到 Google 的 GMS API 和 Facebook Ad SDK 之间。随后，如果智能手机的用户代理包含大多数 Android 沙箱应用程序中常用的术语“nexus”，则使用反沙箱检查来防止恶意软件启动。

这两个技巧使得 GhostClicker 开发人员能够传播他们的广告软件近一年。据趋势科技称第一个应用程序于 2016 年 8 月被感染。此外，该恶意软件在过去一年中不断发展，甚至不再需要管理员权限即可操作。

具体来说，这个软件自动点击 Google AdMob 广告以便为其开发商带来资金。此外，GhostClicker 还会显示弹出窗口和广告，试图将用户重定向到 Play 商店中的附属链接、YouTube 视频或其他应用程序。显然，GhostClicker 的目标是为其开发者创造利润。它并不是为了窃取用户数据而设计的。

趋势科技主要在应用程序清理器、内存增强器、文件管理器、二维码扫描仪、媒体播放器和 GPS 导航应用程序等应用程序中发现这种广告软件。受感染的应用程序之一，阿拉丁的冒险世界, 已下载次数超过五百万次。

在 340 个受感染的应用程序中，只有大约 100 个仍在 Play 商店中。不幸的是，趋势科技尚未透露受影响的应用程序列表。不过请放心，大多数受害者都位于东南亚。如有疑问，请随时咨询我们的摆脱广告软件的教程。